Me gustaría permitir la autenticación de contraseña SSH desde solo una subred determinada. Veo la opción de no permitirlo globalmente en /etc/ssh/sshd_config:
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
¿Hay alguna manera de aplicar esta configuración a un rango selecto de direcciones IP?
Respuestas:
Use un Matchbloque al final de /etc/ssh/sshd_config:
# Global settings
…
PasswordAuthentication no
…
# Settings that override the global settings for matching IP addresses only
Match address 192.0.2.0/24
PasswordAuthentication yes
Luego dígale al servicio sshd que vuelva a cargar su configuración:
service ssh reload
sshd_configno es Python;)
Matchbloque se extiende hasta la próxima Matchdirectiva o hasta el final del archivo. Por eso hay que ponerlo al final.
puedes añadir:
AllowUsers user1@192.168.*.*, user2@192.168.*.*
Esto cambia el comportamiento predeterminado, realmente niega a todos los demás usuarios de todos los hosts. Match block disponible en OpenSsh versión 5.1 y superior.
man sshd_config, parece que AllowGroupsfunciona igual que AllowUsers, pero AllowUsersparece tener prioridad sobre AllowGroups.